Ayuda a la protección de un entorno de Amazon Web Services (AWS) con Defender for Cloud Apps
Amazon Web Services es un proveedor de IaaS que permite a su organización hospedar y administrar todas sus cargas de trabajo en la nube. Junto con las ventajas del uso de la infraestructura en la nube, los recursos más críticos de su organización pueden exponerse a amenazas. Los recursos expuestos incluyen instancias de almacenamiento con información potencialmente confidencial, recursos de proceso que operan algunas de las aplicaciones, los puertos y las redes privadas virtuales más críticos que permiten el acceso a su organización.
Conectar AWS a Defender for Cloud Apps le ayuda a proteger los recursos y a detectar posibles amenazas mediante la supervisión de actividades administrativas y de inicio de sesión y la notificación sobre posibles ataques por fuerza bruta, el uso malintencionado de una cuenta de usuario con privilegios, la eliminación inusual de máquinas virtuales y los cubos de almacenamiento expuestos públicamente.
Principales amenazas
- Abuso de recursos en la nube
- Cuentas en peligro y amenazas internas
- Pérdida de datos
- Configuración incorrecta de recursos y control de acceso insuficiente
Cómo Defender for Cloud Apps ayuda a proteger su entorno
- Detección de amenazas en la nube, cuentas en peligro y usuarios internos malintencionados
- Limitación de la exposición de datos compartidos y aplicación de directivas de colaboración
- Uso de la pista de auditoría de actividades para investigaciones forenses
Control de AWS con directivas integradas y plantillas de directiva
Puede usar las siguientes plantillas de directiva integradas para detectar y notificarle posibles amenazas:
| Tipo | Nombre |
|---|---|
| Plantilla de directiva de actividad | Errores de inicio de sesión en la consola de administración Cambios en la configuración de CloudTrail Cambios en la configuración de la instancia de EC2 Cambios en la directiva de IAM Inicio de sesión desde una dirección IP de riesgo Cambios en la lista de control de acceso (ACL) Cambios en la puerta de enlace de red Cambios en la configuración de S3 Cambios en la configuración de los grupos de seguridad Cambios en la red privada virtual |
| Directiva de detección de anomalías integrada | Actividad desde direcciones IP anónimas Actividad desde un país poco frecuente Actividad desde direcciones IP sospechosas Viaje imposible Actividad realizada por un usuario finalizado (requiere microsoft Entra ID como IdP) Varios intentos incorrectos de inicio de sesión Actividades administrativas inusuales Actividades inusuales de eliminación de múltiples almacenamientos (vista previa) Varias actividades de eliminación de VM Actividades inusuales de creación de múltiples máquinas virtuales (versión preliminar) Región inusual para el recurso en la nube (versión preliminar) |
| Plantilla de directiva de archivo | Se puede acceder públicamente al cubo de S3 |
Para obtener más información acerca de la creación de directivas, consulte Creación de una directiva.
Automatización de controles de gobernanza
Además de la supervisión de posibles amenazas, puede aplicar y automatizar las siguientes acciones de gobernanza de AWS para corregir las amenazas detectadas:
| Tipo | Acción |
|---|---|
| Regulación de usuario | - Notificar al usuario una alerta (a través de Microsoft Entra ID) - Requerir que el usuario vuelva a iniciar sesión (a través de Microsoft Entra ID) - Suspender al usuario (a través de Microsoft Entra ID) |
| Gobernanza de datos | - Convertir un cubo de S3 en privado - Eliminar un colaborador de un cubo de S3 |
Para obtener más información sobre la corrección de amenazas de aplicaciones, consulte Gobernanza de aplicaciones conectadas.
Protección de AWS en tiempo real
Revise nuestros procedimientos recomendados para bloquear y proteger la descarga de datos confidenciales en dispositivos no administrados o de riesgo.
Conexión de Amazon Web Services a Microsoft Defender for Cloud Apps
En esta sección se proporcionan instrucciones para conectar su cuenta de Amazon Web Services (AWS) existente a Microsoft Defender for Cloud Apps mediante las API del conector. Para obtener información sobre cómo Defender for Cloud Apps protege AWS, consulte Protección de AWS.
Puede conectar la auditoría de seguridad de AWS a las conexiones de Defender for Cloud Apps para obtener visibilidad y control sobre el uso de las aplicaciones de AWS.
Paso 1: Configurar la auditoría de Amazon Web Services
En la consola de Amazon Web Services, en Seguridad, Identidad y cumplimiento, seleccione IAM.
Seleccione Usuarios y, después, Agregar usuario.
En el paso Detalles, proporcione un nuevo nombre de usuario para Defender for Cloud Apps. Asegúrese de que, en Tipo de acceso, selecciona Acceso mediante programación y, después, seleccione Permisos siguientes.
Seleccione Adjuntar directivas existentes directamente y, a continuación, Crear directiva.
Seleccione la pestaña JSON:
Pegue el siguiente script en el área proporcionada:
{ "Version" : "2012-10-17", "Statement" : [{ "Action" : [ "cloudtrail:DescribeTrails", "cloudtrail:LookupEvents", "cloudtrail:GetTrailStatus", "cloudwatch:Describe*", "cloudwatch:Get*", "cloudwatch:List*", "iam:List*", "iam:Get*", "s3:ListAllMyBuckets", "s3:PutBucketAcl", "s3:GetBucketAcl", "s3:GetBucketLocation" ], "Effect" : "Allow", "Resource" : "*" } ] }Seleccione Siguiente: Etiquetas.
Seleccione Siguiente: Review (Siguiente: revisar).
Proporcione un Nombre y seleccione Crear directiva.
De nuevo en la pantalla Agregar usuario, actualice la lista si es necesario, seleccione el usuario que ha creado y seleccione Siguiente: Etiquetas.
Seleccione Siguiente: Review (Siguiente: revisar).
Si todos los datos son correctos, seleccione Crear usuario.
Cuando obtenga el mensaje de operación correcta, seleccione Descargar CSV para guardar una copia de las credenciales del nuevo usuario. Los va a necesitar más adelante.
Nota:
Después de conectarse a AWS, recibirá eventos de siete días anteriores a la conexión. Si solo ha habilitado CloudTrail, recibirá los eventos desde el momento en que habilitó CloudTrail.
Paso 2: Conectar la auditoría de Amazon Web Services a Defender for Cloud Apps
En el portal de Microsoft Defender, selecciona Configuración. A continuación, seleccione Aplicaciones en la nube. En Aplicaciones conectadas, seleccione Conectores de aplicaciones.
En la página Conector de aplicaciones, para proporcionar las credenciales del conector de AWS, realice una de las siguientes acciones:
Para un nuevo conector
Seleccione +Conectar una aplicación y, después, Amazon Web Services.
En la ventana siguiente, proporcione un nombre para el conector y, a continuación, seleccione Siguiente.
En la página Conectar Amazon Web Services, seleccione Auditoría de seguridad y, a continuación, Siguiente.
En la página Auditoría de seguridad, pegue la clave de acceso y la clave secreta del archivo .csv en los campos pertinentes y seleccione Siguiente.
Para un conector existente
En la lista de conectores, seleccione Editar configuración en la fila en la que aparece el conector de AWS.
En las páginas Nombre de instancia y Conectar Amazon Web Services, seleccione Siguiente. En la página Auditoría de seguridad, pegue la clave de acceso y la clave secreta del archivo .csv en los campos pertinentes y seleccione Siguiente.
En el portal de Microsoft Defender, selecciona Configuración. A continuación, seleccione Aplicaciones en la nube. En Aplicaciones conectadas, seleccione Conectores de aplicaciones. Asegúrese de que el estado del conector de aplicación conectado esté Conectado.
Pasos siguientes
Si tienes algún problema, estamos aquí para ayudar. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.